Zahlreiche Unternehmen haben aufgrund des Coronavirus den Entschluss gefasst, mehr Mitarbeitern das Arbeiten im Home Office zu ermöglichen. Doch wie sieht es mit dem Datenschutz aus? Nachfolgend haben wir für Arbeitgeber und Mitarbeiter Tipps zum Heimarbeitsplatz zusammengestellt – ganz im Sinne des Datenschutzes.
Werden am Heimatarbeitsplatz Personendaten verarbeitet?
Sofern in den eigenen vier Wänden nicht mit personenbezogenen Daten oder Sozialdaten hantiert wird (definiert in Art. 4 DSGVO), könnte sich das Home Office theoretisch am Küchentisch befinden. Sobald aber Daten mit Personenbezug im Spiel sind, müssen klare Bahnen für den Datenschutz bestehen. Insbesondere ist zu klären, ob ein Heimarbeitsplatz für die jeweilige Tätigkeit überhaupt infrage kommt.
Homeoffice-Vereinbarung: Regelwerk für den Arbeitnehmer
Für rechtssicheres Arbeiten sind gezielte Schutzmaßnahmen nötig, um nicht Gefahr zu laufen, die Persönlichkeitsrechte Dritter zu verletzen. Zur Rechenschaft gezogen würde im Zweifelsfall nicht der Arbeitnehmer, sondern der Arbeitgeber. Deshalb empfiehlt es sich, die Arbeit im Home Office an Bedingungen zu knüpfen bzw. eine Richtlinie / Homeoffice-Vereinbarung zu formulieren.
Für die Formulierung der Vereinbarung sind verschiedenste Aspekte zu berücksichtigen. So hängen die exakten Bedingungen zur Gewährleistung der Datensicherheit u.a. davon ab, wie sensibel die Daten sind, die vom Mitarbeiter in seiner Wohnung verarbeitet werden. Zur Ausarbeitung eines groben Rahmenwerks ist es hilfreich, sich mit folgenden Fragen zu befassen:
- Besteht im Home-Office ein sicherer Internetzugang?
- Ist eine sichere Onlineverbindung zum Unternehmensnetzwerk gewährleistet (VPN)?
- Welche Hardware wird dem Mitarbeiter zur Verfügung gestellt?
- Ist der Ausdruck von Dokumenten gestattet und falls ja, wie ist eine datenschutzkonforme Entsorgung / Vernichtung gewährleistet?
- Existiert eine Passwortrichtlinie?
- Lässt sich eine angemessene Wartung der Geräte (z.B. in Form von Softwareupdates) gewährleisten?
- Welche Nutzungsrechte werden dem Mitarbeiter eingeräumt?
- Ist die Nutzung externer Speichermedien gestatetet und wie erfolgt deren Überwachung?
- Wie findet die interne Kommunikation statt, welche Tools sind gestattet?
- Sind die Bestandteile der Homeoffice-Vereinbarung dem Mitarbeiter bekannt?
Das datenschutzkonforme Home Office: abschließbar und verschlüsselt
Für ein datenschutzkonformes Home Office sollte ein separates Arbeitszimmer in der Wohnung existieren, das sich jederzeit abschließen lässt. Für Unterlagen und Datenträger ist ein abschließbarer Schrank am Heimarbeitsplatz unabdingbar. Die technische Ausstattung (ob PC, Notebook oder Tablet) darf nur für berufliche Zwecke genutzt werden. Dies schließt private E-Mails ebenso wie privates Surfen am Arbeitsplatz im Home Office aus.
Damit kein anderes Haushaltsmitglied Zugriff auf die Daten hat, muss der Rechner stets gesperrt sein, wenn der Arbeitsplatz nicht vom Mitarbeiter besetzt ist. Ebenso sind Datenträger vor unberechtigtem Zugriff zu schützen. Um die Datensicherheit zu wahren, sollte der Computer ohnehin passwortgeschützt sein und darüber hinaus für eine Verschlüsselung der Daten und des E-Mail-Verkehrs gesorgt werden. Der Zugriff auf Systeme des Arbeitgebers erfolgt am besten auf geschütztem Wege über ein Virtual Private Network (VPN). Für Dokumente in Papierform sollten, Ausdruck, Aufbewahrung und auch die datenschutzkonforme Vernichtung geregelt sein.
Ein ebenfalls wichtiger Aspekt sind Bring Your Own Device (BYOD) Regelungen. In zunehmend mehr Unternehmen ist es Mitarbeiter/innen gestattet, eigene und damit private Laptops und Smartphones beruflich zu nutzen. Es sollte eindeutig geregelt sein, welche Geräte zugelassen sind und wie eine strikte Trennung der Daten gewährleistet ist.
Beratung zur Datensicherheit im Home Office
Arbeitnehmer mit Home Office müssen sich bewusst sein, dass sowohl der Arbeitgeber als auch die Datenschutzbehörde um Zugang zum heimischen Arbeitsplatz und somit einem Bereich der privaten Wohnung bitten dürfen. Dieser Zugang ist zur Kontrolle gedacht, um prüfen zu können, ob die Regeln eingehalten werden und die Schutzmaßnahmen greifen. Um dabei ein gutes Bild abzugeben, sollte bei der Planung des Heimarbeitsplatzes von Beginn an der Datenschutzbeauftragte einbezogen werden. Ebenso ist es wichtig, Mitarbeiter im Vorfeld über die genannten Maßnahmen zum Datenschutz zu informieren. Daraufhin fällt es leichter zu entscheiden, ob sie weiterhin dazu bereit sind, ganz oder teilweise der Arbeit zu Hause nachzugehen.
Foto oben: mein-datenschutzbeauftragter.de
Philipp Herold
Philipp Herold berät Firmen aus verschiedenen Branchen zu Datenschutz und Datensicherheit. Er arbeitet als externer Datenschutzbeauftragter und ist bundesweit als Datenschutzauditor unterwegs. Philipp ist Gründer des Portals Mein-Datenschutzbeauftragter.de, wo Unternehmen wertvolle Informationen zum Thema Datenschutz und Datensicherheit finden und mit Experten in Kontakt treten können.